דלג לתוכן הראשי

A.5.8 אבטחת מידע בניהול פרויקטים

מטרה

מטרת הנוהל היא להבטיח כי אבטחת המידע תילקח בחשבון בכל שלבי ניהול הפרויקטים בארגון, החל מהתכנון הראשוני ועד לסיום הפרויקט, על מנת למזער את הסיכונים לאבטחת המידע.

תחום יישום

הנוהל חל על כל הפרויקטים המתנהלים בארגון, לרבות פרויקטים טכנולוגיים, תפעוליים, ופיתוחיים.

הגדרות

  • אבטחת מידע: הגנה על המידע בארגון מפני גישה לא מורשית, שימוש לא מורשה, שינוי לא מורשה, והשמדה.
  • פרויקט: תהליך חד-פעמי עם מטרה ברורה, אשר כולל תכנון, ביצוע, ובקרה, ומשתמש במשאבים כדי להשיג את התוצאה הרצויה.

אחריות

  • מנהל הפרויקט:

    • אחראי על שילוב שיקולי אבטחת מידע בכל שלבי ניהול הפרויקט.
    • אחראי על הערכת הסיכונים לאבטחת מידע בפרויקט ועל פיתוח תוכניות למזעור סיכונים אלו.

  • ממונה אבטחת מידע:

    • אחראי על הנחיה ותמיכה במנהלי הפרויקטים בנושאי אבטחת מידע.
    • אחראי על ביצוע בדיקות תקופתיות והערכות של נהלי אבטחת המידע בפרויקטים.

תהליך

1. שילוב אבטחת מידע בתכנון הפרויקט

  • מנהל הפרויקט יוודא כי שיקולי אבטחת מידע נלקחים בחשבון כבר בשלב התכנון.
  • יש לוודא כי כל הסיכונים הפוטנציאליים לאבטחת מידע זוהו וכי פותחו תוכניות להפחתתם.

2. הערכת סיכונים

  • מנהל הפרויקט יבצע הערכת סיכונים לאבטחת מידע כדי לזהות את האיומים הפוטנציאליים והפגיעויות בפרויקט.
  • ההערכה תכלול את זיהוי המידע הקריטי בפרויקט והגדרת אמצעי ההגנה הדרושים.

3. תכנון אמצעי אבטחת מידע

  • מנהל הפרויקט יפתח תוכנית לניהול אבטחת המידע בפרויקט, הכוללת אמצעי הגנה מתאימים כגון בקרות גישה, הצפנה, ותהליכי בקרה.
  • ממונה אבטחת מידע יספק הנחיות נוספות לגבי האמצעים הדרושים בהתאם לרמת הסיכון.

4. יישום אמצעי אבטחת מידע

  • מנהל הפרויקט יוודא כי כל אמצעי אבטחת המידע שתוכננו ייושמו בפועל במהלך הפרויקט.
  • יש לבצע בדיקות תקופתיות כדי לוודא את תקינותם ויעילותם של האמצעים המיושמים.

5. מעקב ובקרה

  • מנהל הפרויקט יעקוב אחר ביצועי אבטחת המידע בפרויקט ויבצע בקרות תקופתיות כדי לוודא עמידה בדרישות האבטחה.
  • במקרה של איומים או פגיעויות שנמצאו במהלך הפרויקט, יש לבצע התאמות נדרשות בתוכנית אבטחת המידע.

6. דיווח והפקת לקחים

  • מנהל הפרויקט יגיש דוחות סיכום על מצב אבטחת המידע בפרויקט, כולל ממצאים, תובנות והמלצות לשיפור.
  • ממונה אבטחת מידע יבצע ניתוח של הדוחות והפקת לקחים לשיפור ניהול אבטחת המידע בפרויקטים עתידיים.

הערות

  • על הארגון לוודא כי כל מנהלי הפרויקטים עברו הכשרה בנושא אבטחת מידע בניהול פרויקטים.
  • הארגון יבצע ביקורות תקופתיות על יישום נוהל אבטחת המידע בניהול פרויקטים כדי לוודא את אפקטיביותו.